אתגרי הגנת הפרטיות במגזר העמותות בהיערכות לתיקון 13 לחוק הגנת הפרטיות

באוגוסט 2025 ייכנס לתוקפן תיקון 13 לחוק הגנת הפרטיות. הצוות הניהולי בעמותה אשר בוחן את חשיבות ההיערות לשינוי הזה, מן הראוי שיבחן את הנושא בראי דוח פיקוח רוחב של רשות הגנת הפרטיות אשר פורסם ממש לפני שנה.

הדוח בוחן את עמידתן של עמותות והמגזר השלישי בהוראות חוק הגנת הפרטיות ותקנות אבטחת המידע. הממצאים חושפים אתגרים משמעותיים שעמותות נדרשות להתמודד עמם, במיוחד בהתחשב ברגישות המידע שברשותן ובמשאבים המוגבלים העומדים לרשותן.

מדוע הגנת הפרטיות קריטית במיוחד לעמותות?

עמותות ניצבות בפני אתגר ייחודי בתחום הגנת הפרטיות מכמה סיבות:

1. מידע רגיש במיוחד – עמותות רבות אוספות מידע אישי רגיש, לעתים קרובות מאוכלוסיות מוחלשות, כולל מידע סודי ונתונים הנוגעים לצנעת הפרט.
2. היקף נרחב של מאגרי מידע – במגזר קיימים מאגרי מידע גדולים עם אוכלוסיות מידע מגוונות.
3. מחסור במשאבים ייעודיים – בעמותות רבות, במיוחד הקטנות שבהן, חסרות מחלקות ייעודיות לטיפול בנושאי הגנת פרטיות ואבטחת מידע.

הממצאים העיקריים מהדוח

דוח פיקוח הרוחב, שבחן 24 גופים במגזר העמותות, חשף פערים משמעותיים בעמידה בהוראות החוק:

• כ-50% מהגופים הציגו רמת עמידה חלקית בלבד בדרישות החוק, כאשר 4% מהם מצויים ברמת עמידה נמוכה.
• בתחום אבטחת מידע, כ-17% מהגופים אינם עומדים בדרישות החוק באופן מלא, וכ-16% נוספים מצויים ברמת עמידה נמוכה.
• בתחום ניהול מאגרי מידע, כ-42% מהארגונים נמצאים ברמת עמידה בינונית ו-12% נוספים ברמת עמידה נמוכה.
• בתחום בקרה ארגונית, 75% מהגופים נמצאים ברמת עמידה בינונית ו-17% ברמה נמוכה.
• בתחום העברת מידע בין גופים ציבוריים, 75% מהגופים נמצאים ברמת עמידה נמוכה.

האתגרים המרכזיים שזוהו

1. בקרה ארגונית לקויה

• 40% מהגופים לא מינו ממונה אבטחת מידע כנדרש
• 36% עובדים לא עוברים הדרכות אבטחת מידע מתאימות
• 24% מהממונים משמשים בתפקידים נוספים שעלולים להעמידם בניגוד עניינים
  2. ליקויים בעבודה עם ספקי מיקור חוץ
• 60% הגופים אינם מוודאים התאמה בין ההסכמים עם ספקים לבין הרישום במאגרים
• 17% אינם מוודאים שספקי מיקור החוץ עומדים בדרישות אבטחת המידע
  3. בעיות באבטחת מידע
• 48% מהגופים אינם מקיימים תיעוד של אירועי אבטחה
• 30% קיימים מאגרים עם רמת אבטחה בינונית או גבוהה שאינם מיישמים את ההנחיות הנדרשות
• 22% אינם מקיימים מדיניות סיסמאות חזקה

המלצות מעשיות לעמותות

בעקבות הממצאים, הרשות הוציאה הנחיות מפורטות. הנה המלצות מעשיות לעמותות:

1. בקרה ארגונית:
   • מינוי ממונה אבטחת מידע כנדרש בחוק (חובה בארגון המחזיק חמישה מאגרים או יותר)
   • הקפדה על רישום נכון של מאגרי המידע
   • עריכת הדרכות תקופתיות לעובדים בתחום הגנת הפרטיות
2. ניהול מיקור חוץ:
   • בחינת סיכוני אבטחת מידע לפני התקשרות עם ספקים
   • הסדרת הסכמים מפורטים עם ספקי שירות הכוללים את כל דרישות תקנה 15 לתקנות אבטחת מידע
   • ביצוע בקרה תקופתית על עמידת הספקים בדרישות אבטחת המידע
3. אבטחת מידע:
   • גיבוש וניהול נוהל אבטחת מידע מקיף
   • תיעוד אירועי אבטחה
   • יישום מדיניות סיסמאות חזקה
   • יישום ניתוק אוטומטי לאחר פרק זמן סביר של אי פעילות
   • הגבלת השימוש בהתקנים ניידים והצפנת המידע המועבר בהם

סיכום

דוח הרשות להגנת הפרטיות חושף כי עמותות רבות בישראל מתקשות לעמוד בדרישות הרגולציה בתחום הגנת הפרטיות, במיוחד לאור המשאבים המוגבלים העומדים לרשותן. עם זאת, ככל שהמידע האישי שבידי העמותות רגיש יותר, כך גדלה החשיבות של הגנה נאותה עליו.

ניכר כי עצם קיום הליך הפיקוח הוביל לשיפור בהתנהלות הארגונים, כאשר בביקורות המעקב שנערכו נמצא כי הגופים החלו בתהליכי תיקון ליקויים. הרשות אף ציינה כי תשקול בעתיד לבחון את השינוי היחסי ברמת הציות במגזר העמותות באמצעות בדיקות נוספות.

על עמותות לראות בהגנה על פרטיות המסתייעים בשירותיהן חלק בלתי נפרד מהשירות האיכותי שהן מעניקות, ולהקדיש לכך תשומת לב ומשאבים הולמים. הקפדה על דרישות החוק לא רק תמנע סנקציות מצד הרשות, אלא גם תחזק את אמון הציבור בארגון ותגן על האוכלוסיות הפגיעות שהעמותות משרתות.